Sono state rese note attraverso una public disclosure alcune vulnerabilità molto pericolose insite all’interno di Linkedin, il social network orientato alla valorizzazione delle competenze e dei contatti lavorativi. Secondo il bollettino recentemente pubblicato da varutra.com (che comunque farebbe riferimento ad una issue risolta dal social, attualmente), era possibile impostare una seconda email per qualsiasi utente, permettendo all’attaccante di accedere immediatamente al profilo della vittima a suo nome senza chiedere ulteriori conferme, concretizzando cosଠun attacco CRSF (Cross Site Request Forgery). Il tutto si basava sul fatto che l’URL in questione era completamente in chiaro e si poteva manipolare facilmente dall’esterno, anche grazie a parametri autoesplicativi che l’attaccante poteva modificare a proprio piacere, del tipo:
- manage-email-submit?a ddEmail=custom_email_id&csrfToken= ajax%3A0988969076258526585
Inoltre, era addirittura possibile aggiungere un indirizzo email alla vittima, senza avvisarlo del cambio sul suo vecchio indirizzo (furto di identità ), ed un’ulteriore falla era presente nel modulo di reset delle password.
Tutti problemi che sono stati sottoposti a Linkedin e, nel frattempo, già mitigati. Gli utenti in questi casi possono fare poco, di loro, se non prestare molta attenzione a quello che fanno ed evitare di cliccare link che potrebbero essere malevoli come quello riportato.
Si suggerisce a tutti gli utenti del social in questione di:
- verificare la correttezza dell’indirizzo email del proprio account;
- cambiare periodicamente la propria password, usandone una sicura;
- non cliccare senza riflettere su eventuali link pervenuti via email (phishing, spam) che potrebbero sfruttare falle di questo tipo.
Photo by TheSeafarer
Da non perdere 👇👇👇
- 🔒 Conosci meglio privacy e diritti digitali
- 👩💻 Impara a programmare in Python, C++, PHP
- 💻 Configura hosting e domini
- 📊 Tutto sui database
- 🛠️ Approfondisci le nuove tecnologie
- 🎮 Esplora la sezione retrogame
- 👀 Guarda i migliori servizi in offerta
- 🏁 Usa al meglio Excel
- 💬 Il nostro canale Telegram: iscriviti
- 🧐 Configurare l’hosting di un sito senza impazzire: 4 cose da conoscere
- 🤩 Domini .CF: come e dove registrarne uno
- 🤩 Da hosting condiviso a VPS senza penare: guida pratica